關於 TLS 連線

如果使用者想要透過 HTTPS 協定連線到網頁資源，您必須在使用者電腦和託管所需網頁資源的網頁伺服器之间建立安全加密連線。建立基本 TCP/IP 連線後，用戶端和伺服器將交換安全憑證和加密設定。因此，使用 TLS（傳輸層安全）協定建立加密資料通道。為此原因，加密連線也被称為 TLS 連線。在此渠道内，資料透過應用程式层協定，比如 HTTP，進行傳輸。

如果在應用程式中停用 TLS/SSL 連線的解密，代理伺服器將在用戶端和伺服器之間中繼訊息，而無需干預加密的連線建立過程。在這種情況下，Kaspersky Web Traffic Security（病毒防護和網路釣魚防護）的防護模組無法掃描在加密資料通道內傳輸的資料。這降低了企業 IT 基礎架構的防護等級。因此，建議啟用 TLS/SSL 連線的解密。

如果在應用程式設定中啟用瞭解密 TLS/SSL 連線，代理伺服器會收到干預連線建立過程的能力。在此情况下，如果被掃描流量不符合任何 SSL 規則的條件，應用程式可以將 SSL 規則中定義的操作或預設操作應用到流量。

應用程式可提供以下加密連線處理操作：

• Tunnel。
• Tunnel with SNI check。
• Bump。
• Terminate。

為了保證最高等級的安全，建議選擇Bump操作。建議僅對不支援涉及解密傳輸流量的操作（例如銀行應用程式）的 web 資源或應用程式使用Tunnel和Tunnel with SNI check操作。

套用Tunnel、Tunnel with SNI check或Terminate操作

下圖說明了在套用Tunnel、Tunnel with SNI check或Terminate操作後建立加密連線的原則。

Tunnel、Tunnel with SNI check或Terminate操作後建立加密連線的原則

建立加密連線包括以下步骤：

1. 用戶端請求

   用戶端會傳送一個 CONNECT 請求到代理伺服器和網頁伺服器進行連線。請求包含託管所需網頁資源的網頁伺服器的 FQDN 或 IP 位址。

2. 請求重定向到伺服器

   代理伺服器生成並向 web 伺服器傳送連線請求，從它接收回應，並將此回應中繼到用戶端。

3. 將用戶端的 SNI 和其他加密設定傳輸到代理伺服器

   用戶端向代理伺服器傳送其支援的加密設定和 SNI 欄位，該欄位指示相關 web 資源（網站）的完整網域名稱 (FQDN)。

   傳輸需要建立連線的網站名稱的 TLS 協定的延伸。當透過 HTTPS 協定執行的多個服務由同一物理伺服器託管並使用相同的 IP 位址，但每個服務都有自己的安全憑證時，SNI 是必需的。

4. 檢查連線是否應中斷

   如果根據 SSL 規則或預設操作中指定的操作對請求套用Terminate操作，則連線將終止。封鎖頁面不向使用者顯示。

5. 將用戶端的 SNI 和其他加密設定傳輸到 web 伺服器

   如果Terminate操作尚未套用於請求，代理伺服器將代表用戶端將 SNI 欄位和其他加密設定中繼到 web 伺服器。

6. 將 web 資源的憑證傳輸到代理伺服器

   web 伺服器返回到代理伺服器其自己支援的加密設定集，以及使用者基於 SNI 欄位請求存取的 web 資源的憑證。

7. 將 web 資源的憑證傳輸到用戶端

   代理伺服器將從 web 伺服器接收的憑證和加密設定中繼到用戶端。

8. 建立安全連線

   用戶端和伺服器會协调其它連線细节。然後建立安全資料通道，用戶端和伺服器可以在此通道內交換資料。

套用Terminate和Bump操作

下圖說明了在套用Terminate和Bump操作後處理加密連線的原則。在這種情況下，步驟 5 和 7 不同于建立加密連線的基本機制。在步驟 5 中，代理伺服器代表其自身而不是代表用戶端傳輸 SNI 欄位和其他加密設定。代理伺服器從 web 伺服器接收請求的 web 資源的憑證，在其基礎上生成其自己的（更換）憑證，並將此更換憑證中繼到用戶端。

套用Terminate和Bump操作後處理加密連線的原則

下表說明了應用程式根據指定的操作處理加密連線的方式之間的差異。

根據定義的操作處理加密連線

不涉及代理伺服器	Tunnel	Tunnel with SNI check	Bump	Terminate
用戶端請求。	用戶端請求。 代理伺服器允许根據網頁伺服器的 IP 位址或完整網域名稱（FQDN）建立安全渠道。	用戶端請求。	用戶端請求。	用戶端請求。
伺服器回應。	伺服器回應。	伺服器回應。	伺服器回應。	伺服器回應。
傳輸 SNI 和用戶端的其它加密設定。	傳輸 SNI 和用戶端的其它加密設定。	傳輸 SNI 和用戶端的其它加密設定。 代理伺服器允许根據網頁資源的 SNI 建立安全渠道。	傳輸 SNI 和用戶端的其它加密設定。 代理伺服器會將該資料傳送到網頁伺服器，就好像該資料来自代理伺服器而不是用戶端。	連線被終止。封鎖頁面不向使用者顯示。
傳輸所請求網頁資源的憑證。	傳輸所請求網頁資源的憑證。	傳輸所請求網頁資源的憑證。	傳輸所請求網頁資源的憑證。 代理伺服器攔截 web 伺服器傳送的憑證，並在此基礎上生成其自己的更換憑證。	–
建立安全連線。	建立安全連線。 應用程式無法使用反病毒和防釣魚模組掃描傳輸的資料。	建立安全連線。 應用程式無法使用反病毒和防釣魚模組掃描傳輸的資料。	建立安全連線。 建立了两個連線：一個在用戶端和代理伺服器之间，另一個在代理伺服器和網頁伺服器之间。應用程式可以分析加密渠道的内容並將流量處理規則應用到在渠道内傳輸的資料。	–

頁面頂端